Asegurar el puerto BMC en el NVIDIA DGX A100 cuando está conectado a una LAN compartida implica varios pasos para garantizar que el sistema permanezca protegido del acceso no autorizado. Aquí hay una guía detallada sobre cómo lograr esto:
1. Use una VLAN separada para el tráfico BMC **
Si no puede usar una red de administración dedicada, configure una VLAN separada para el tráfico BMC. Esto aísla la gestión de BMC de otro tráfico de red, reduciendo el riesgo de acceso no autorizado. Asegúrese de que esta VLAN no se use para otros fines, especialmente no para las interfaces LAN de las máquinas administradas [2] [5].2. Restringir el tráfico IPMI **
Limite el tráfico IPMI a redes internas de confianza. Esto se puede lograr configurando reglas de firewall para restringir el tráfico entrante y saliente relacionado con la administración de BMC. Asegúrese de que solo los servidores de gestión autorizados puedan acceder al BMC [2] [6].3. Habilitar cifrado **
Si es posible, habilite el cifrado en la interfaz IPMI. Consulte su manual de usuario para obtener instrucciones específicas sobre cómo hacer esto, ya que puede variar según el modelo BMC [2].4. Servidores de gestión segura **
Administre todos los BMC de los servidores de gestión segura que requieren un inicio de sesión. Implemente reglas de acceso para garantizar que solo el personal autorizado pueda acceder al BMC. Esto agrega una capa adicional de seguridad controlando quién puede administrar el BMC [2] [6].5. Cambiar las credenciales predeterminadas **
Cambie inmediatamente el nombre de usuario y la contraseña de BMC predeterminados. Use contraseñas fuertes y únicas y considere implementar políticas y roles de usuario para limitar aún más el acceso [6] [9].6. Desactivar servicios no utilizados **
Si los servicios IPMI no se utilizan a través de la consola web, desactíelos para evitar una exposición innecesaria. Además, considere bloquear el puerto TCP 623 (el puerto IPMI predeterminado) si no es necesario [2].7. Actualizar regularmente el firmware **
Mantenga el firmware BMC actualizado para abordar cualquier vulnerabilidad de seguridad conocida. Verifique regularmente las actualizaciones y aplíquelas durante los ciclos de mantenimiento [6] [11].8. Monitorear la actividad de la red **
Controle regularmente la actividad de la red para patrones de tráfico inusuales entre el BMC y otras máquinas. Esto puede ayudar a detectar posibles violaciones de seguridad temprano [6].Siguiendo estos pasos, puede mejorar significativamente la seguridad del puerto BMC en el DGX A100 incluso cuando está conectado a una LAN compartida.
Citas:
[1] https://docs.nvidia.com/dgx/dgxa100-user-guide/security.html
[2] https://www.unicomengineering.com/blog/ipmi-best-practices/
[3] https://docs.nvidia.com/dgx/dgxa100-user-guide/network-config.html
[4] https://www.intel.com/content/www/us/en/support/articles/000098962/server-products.html
[5] http://cdn.cnetcontent.com/2f/68/2f6888a0-063f-4d76-94e4-8666b7619dfd.pdf
[6] https://www.supermicro.com/products/nfo/files/ipmi/best_practices_bmc_security.pdf
[7] https://www.skyblue.de/uploads/datasheets/nvidia_twp_dgx_a100_system_architecture.pdf
[8] https://docs.nvidia.com/dgx/dgxa100-user-guide/using-the-bmc.html
[9] https://docs.nvidia.com/dgx/dgx-station-a100-user-guide/security.html
[10] https://www.reddit.com/r/servers/comments/sol1up/using_bmc_functionality_with_regular_thernet/
[11] https://nvidia.custthelp.com/app/answers/detail/a_id/5510/~/security-bulletin:-nvidia-dgx-a100----january-2024
[12] https://www.intel.com/content/www/us/en/support/articles/000036861/server-products/server-boards.html
[13] https://www.robusthpc.com/wp-content/uploads/2021/11/nvidia-dgx-station-a100-system-architecture-white-paper_published.pdf